Создаем bat файл С:\CustomApp\app1.bat с содержимым:
rem testing app
pause
_________________________________________________________________________________
dsa.msc> создаем отдельную OU для клиентских компьютеров Client Computers
Перемещаем в ou Client Computers клиентский компьютер.
gpmc.msc> Group Policy Objects> new GPO имя политики Software Control
Нажимаем правой кнопкой по Software Control и выбираем edit
Разворачиваем ветвь в редактор GPO Computer Configuration\Policies \Windows Settings\Security Settings\Application Control Policies\AppLocker
Разворачиваем ветвь AppLocker и кликаем правой кнопкой по Executable Rules выбираем пункт Create Default Rules тоже самое повторяем для Windows Installer Rules, Script Rules и Packaged app Rules.
Правой кнопкой нажимаем по Script rules, и кликаем по Create New Rule
В окне Before You Begin жмем Next.
На странице Permissions , кликаем Allow и нажимаем далее Next.
На странице Conditions кликаем по Path и нажимаем далее Next
На странице Path, в поле Path, указываем %OSDRIVE%\CustomApp\app1.bat, (приложение app1.bat которое можно будет запустить с C:\CustomApp) и нажимаем Next.
На странице Exception , кликаем Next.
На странице Name and Description пишем имя правила Custom Application Rule и жмем Create.
После добавления этого правила пользователям буде разрешено запускать приложения которые находятся в папках C:\Windows и C:\Program Files и в папке C:\CustomApp
rem testing app
pause
_________________________________________________________________________________
dsa.msc> создаем отдельную OU для клиентских компьютеров Client Computers
Перемещаем в ou Client Computers клиентский компьютер.
Разворачиваем ветвь в редактор GPO Computer Configuration\Policies \Windows Settings\Security Settings\Application Control Policies\AppLocker
Разворачиваем ветвь AppLocker и кликаем правой кнопкой по Executable Rules выбираем пункт Create Default Rules тоже самое повторяем для Windows Installer Rules, Script Rules и Packaged app Rules.
Правой кнопкой нажимаем по Script rules, и кликаем по Create New Rule
В окне Before You Begin жмем Next.
На странице Permissions , кликаем Allow и нажимаем далее Next.
На странице Conditions кликаем по Path и нажимаем далее Next
На странице Path, в поле Path, указываем %OSDRIVE%\CustomApp\app1.bat, (приложение app1.bat которое можно будет запустить с C:\CustomApp) и нажимаем Next.
На странице Name and Description пишем имя правила Custom Application Rule и жмем Create.
Переходим в раздел AppLocker и нажимаем по Configure rule enforcement (справа)
В окне AppLocker Properties ставим чекбоксы Configured и значение Enforce rules у паремтров Executable rules, Windows Installer Rules, Script Rules и Packaged app Rules
Проверяем работу правила
- Запускаем на клиенте gpupdate /force
- Перезагружаем компьютер
- Заходим на компьютер под пользователем (не под админом)
- Запускаем файл С:\customapp\app1.bat (файл запускается)
- Копируем файл в папку Documents и пробуем запустить, если все нормально отработало, то мы получаем уведомление:
“This program is blocked by Group Policy. For more information, contact your system administrator.”
Комментариев нет:
Отправить комментарий